Mac OS X 10.4.7 업데이트의 보안 콘텐츠에 관하여
이 문서에서는 소프트웨어 업데이트를 사용하거나 Apple 다운로드 사이트에서 다운로드하고 설치할 수 있는 Mac OS X 10.4.7 업데이트의 보안 콘텐츠에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.
Mac OS X v10.4.7 업데이트
AFP
CVE-ID: CVE-2006-1468
대상: Mac OS X v10.4.6, Mac OS X Server v10.4.6
영향: 파일 및 폴더 이름이 승인받지 않은 사용자에게 공개될 수 있음
설명: AFP 서버의 문제로 인해 검색 결과에 검색을 수행하는 사용자에게 접근 권한이 없는 파일 및 폴더의 이름이 포함될 수 있습니다. 이로 인해 이름 자체가 민감한 정보인 경우 정보 공개로 이어질 수 있습니다. 이 업데이트는 검색 결과에 사용자에게 승인된 항목만 포함되도록 하는 방식으로 문제를 해결합니다. Mac OS X v10.4 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않습니다.
ClamAV
CVE-ID: CVE-2006-1989
대상: Mac OS X Server v10.4.6
영향: 바이러스 스캔이 자동으로 업데이트하도록 구성된 경우 악성 데이터베이스 미러링으로 인해 임의 코드가 실행될 수 있음
설명: ClamAV의 자동 바이러스 데이터베이스 업데이트 문제로 인해 스택 기반 버퍼 오버플로우가 발생할 수 있습니다. 악의적이거나 스푸핑된 ClamAV 데이터베이스 미러링으로 인해 ClamAV의 권한으로 임의 코드가 실행될 수 있습니다. Mail 서비스, 바이러스 스캔 및 자동 바이러스 데이터베이스 업데이트는 기본적으로 꺼져 있습니다. 이 업데이트는 ClamAV 0.88.2를 통합하는 방식으로 문제를 해결합니다. Mac OS X v10.4 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않습니다.
ImageIO
CVE-ID: CVE-2006-1469
대상: Mac OS X v10.4.6, Mac OS X Server v10.4.6
영향: 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있음
설명: 공격자는 손상된 TIFF 이미지를 정교하게 제작하여 스택 기반 버퍼 오버플로우를 야기하여 응용 프로그램에서 충돌이 발생하거나 임의 코드가 실행되도록 할 수 있습니다. 이 업데이트는 TIFF 이미지의 유효성 확인을 추가적으로 수행하는 방식으로 문제를 해결합니다. Mac OS X v10.4 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않습니다.
launchd
CVE-ID: CVE-2006-1471
대상: Mac OS X v10.4.6, Mac OS X Server v10.4.6
영향: 로컬 사용자의 권한이 상승될 수 있음
설명: setuid 프로그램 launchd에 존재하는 형식 문자열 취약점으로 인해 인증된 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있습니다. 이 문제는 launchd의 로깅 시설에 존재합니다. 이 업데이트는 메시지를 기록할 때 유효성 확인을 추가로 수행하는 방식으로 문제를 해결합니다. Mac OS X v10.4 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않습니다. 이 문제를 보고해 주신 DigitalMunition의 Kevin Finisterre 님께 감사드립니다.
OpenLDAP
CVE-ID: CVE-2006-1470
대상: Mac OS X v10.4.6, Mac OS X Server v10.4.6
영향: 원격 공격자가 Open Directory 서버에서 충돌을 일으킬 수 있음
설명: 원격 공격자는 유효하지 않은 LDAP 요청을 정교하게 제작하여 OpenLDAP 서버에서 어설션을 유발여 서비스 거부를 야기할 수 있습니다. 이 업데이트는 유효하지 않은 요청을 삭제하는 방식으로 문제를 해결합니다. Mac OS X v10.4 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않습니다. 이 문제를 보고해 주신 Mu Security 연구팀에 감사드립니다.